构建移动防御体系：五个值得思考的关键问题

摘要：

移动设备变得越来越重要，也成为网络攻击的新目标。本文作者将移动攻击者和Willie Sutton银行大盗类比，凸显出问题的核心：钱在哪，网络攻击就往哪走。对企业而言，真正重要的问题或许涉及数据、应用和设备访问。

Willie Sutton 和移动攻击者们有着诸多相似之处——但与这位名噪一时的银行大盗所处的时代不同，如今的防御体系已经发生了一系列变化。

很多朋友可能都听过著名的 Willie Sutton 银行大劫案（可能实际情况并没那么夸张），其中的核心就是“钱到底放在哪儿了？”。之所以人们总爱在常规信息安全，特别是移动设备这类背景下讨论这个话题，是因为这场劫案与如今的安全形势有着诸多相似之处。

来自皮尤研究中心等机构的报告显示，目前全球正在使用的智能手机已经超过 25 亿部，而其中保存的资金自然成了网络犯罪分子的理想目标。

事实上，随着我们越来越多地将移动设备作为个人日常生活的重要工具，它们在帮助用户摆脱书桌与笨重台式机的影响之外，也开始吸引更多恶意攻击者的高度关注。移动设备模糊了个人与业务用途之间的界限，这也进一步加剧了安全问题的严重性。

IDG发布的一项调查结果显示，从手机端访问商业应用程序的用户增加了 85%，这一切都让移动设备不可避免地成为新时代下的主要攻击目标。

下面，让我们一起聊聊移动攻击的发展轨迹，而后讨论组织在构建成功移动防御策略之前，必须弄清楚的五个关键问题。

一、移动攻击的发展轨迹

回到银行劫案这个话题。也许，比事情更有趣的，是 Willie Sutton 采取的战术、技术与程序（TTP）。事实上，这一切都与针对现代移动设备的攻击活动存在着诸多相似之处。

以针对手机银行应用的木马程序为例：与 Sutton 一样，移动攻击者在本质上就是银行抢劫犯。这类木马于 2010 年左右开始出现，始终在移动恶意软件当中占据着重要比例，且广泛存在于各类第三方应用商店中。

Sutton 的成名之举，还在于他在抢劫与越狱过程中使用了出色的伪装手法。据称，他先后伪装成警察、邮递员以及狱警。同样的，针对移动设备的攻击活动也越来越多地以合法形式隐藏自己的行迹，包括模仿其它高人气应用，以及利用辅助功能及其它权限等。

例如，今年 5 月，攻击者就曾经利用 WhatsApp 中的内置调用功能漏洞对目标用户进行监视——这也使该移动应用程序一夜之间登上报纸头条。虽然这种特殊攻击的针对性不高，而且一般不会影响到普通大众，但却凸显出一种新的移动攻击思路：查找并攻击那些能够访问目标资源或数据，且更易被攻击者入侵的其它应用程序。

随着移动操作系统供应商不断加强基准安全性，同时限制指向敏感功能的接口，利用能够合法访问这些功能的应用已经成为一种更高效也更实用的攻击手段。

当然，Sutton 的银行劫案与如今的移动攻击之间也有着一个重要区别：Sutton 必须亲自侵入他打算抢劫的银行，但网络犯罪分子却无需进行物理接近。

另外，由于后者打算窃取的对象是以数字化形式存在，因此“贵重物品”可能存在于多个位置，且其中总有一些位置没能受到高水平的严格保护。

二、关于发展移动网络防御能力的五个问题

组织需要制定战略，从而在跟上移动设备持续增加这一历史趋势的同时，确保自己有能力应对日益复杂的网络犯罪攻击。

以下五个关键问题，能够帮助大家在构建防御的过程中建立基本思路。

1.敏感的企业数据放在哪？

你的数据是集中存放、部署在内部环境还是云端？你是否将数据留在移动设备之上？对于大多数朋友，无论实际安全政策如何，你对这些问题的回答可能都是肯定的。

数据扩展真的是一种难以控制的趋势，因此我们必须高度关注数据管理工作。现代业务以及用于支持业务的数据拥有高度分布的特性，但高度分布并不代表着无法控制。

对组织而言，一个理想的起点就是管理自己的端点，同时汇总企业当中使用的内部部署与云服务环境，以确保自己了解有价值信息的分布位置。

2.敏感数据以怎样的方式进行访问？

例如，我们允许哪些设备访问库存数据，又是如何对这些设备进行身份验证的？请注意，如果没有明确拒绝访问端点，也就相当于默认允许访问。

实际上，组织需要将来自配置管理数据库（CMDB）以及端点保护平台（EPP）的数据合并至授权方案当中。在这一背景之下，如果大家决定为某些设备提供访问敏感数据的权限，请首先考虑该设备的具体类型、资产所有权、当前配置以及用于访问数据的端点的整体“清洁度”等问题。

在理想情况下，大家最好采用动态定制权限。此外，不少网络访问控制（NAC）与 SSL-VPN 产品也能为内部部署基础设施提供类似的功能。但组织必须考虑如何将这些功能与云授权方案结合起来。

3.这些设备背后的使用者究竟是谁？

我们如何了解端点背后的使用者，与其声称的使用者确实一致？考虑现在有不少现场员工会共享设备，这无疑是个非常重要的问题。

当然，我们首先应该想到的就是强认证方法。标准身份验证要求用户知道密码同时并拥有设备。这显然并不完善，因此我们可以配合其他强化因素进一步提升安全性。当现代设备上越来越强大的生物识别传感器与 FIDO2 等认证规范相结合之后，凭证将得到更严格的保护，同时也大大提高了欺诈活动的实施门槛。

4.如何对设备上的传输与闲置数据加以保护？

在这方面，加密应该以无处不在的形式部署到位。虽然有估计称，87%的网站都能够使用 TLS，但目前大多数设备仍然自带加密文件系统。

组织也应该要求在基础设施当中配备加密传输，从而对指向陈旧系统的传输进行加密，并集中管理端点的加密机制。

在过去十多年中，统一端点管理（UEM）平台一直很好地完成着集中管理端点加密机制的任务。至于传输加密，我们可以使用 VPN 这类工具进行解决。这类工具能够基于用户代理及目标网络/端口信息为传输流量建立通道，这就摆脱了传统 VPN 单纯以网络为中心的使用规则。

另外，VPN 的使用也能够在建立健壮的微分区体系的前提下，为用户隐私提供有力的保护。

5.设备上运行有哪些应用？

未知或未经授权的应用程序能否访问，或者说是否有可能绕过对敏感数据的控制机制？用户代理往往是现代数据丢失防护（DLP）当中最容易被忽视的方面。

应用程序拥有的权限及其具体安装方法，会对管理员的应用活动控制能力产生重大影响。由于目前不少 SaaS 应用程序主要基于 RESTful API 进行构建，因此后端通常无法感知到用户代理的存在。

所以，组织需要建立一种可靠的应用程序汇总方法，同时扩展自身授权框架以确保将应用程序、用户以及设备等信息涵盖在其中。

以上的问题答案因企业业务线布展，也因企业所处理的数据类型而异。我们有必要重视这些问题，因为随着与个人及业务相关的敏感信息持续涌入移动设备，企业应该考虑到犯罪分子对于这类信息的“浓厚兴趣”。我们必须为越来越普遍、越来越智能也越来越复杂的应用环境做好准备，进而发现一切未经授权的数据访问活动。毕竟，“钱就在这里”！

原文链接：

https://threatpost.com/building-mobile-defense/147564/